ГлавнаяБаза уязвимостей БДУ → BDU:2024-03450
10критическая

BDU:2024-03450 (CVE-2024-28436)

Уязвимость компонента session_login.php микропрограммного обеспечения беспроводных точек доступа D-Link, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS)
Опубликовано: 2024-05-06
Описание

Уязвимость компонента session_login.php микропрограммного обеспечения беспроводных точек доступа D-Link связана с непринятием мер по защите структуры веб-страницы при обработке параметра reload. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки (XSS)

Затрагиваемое ПО и версии
DAP-2230DAP-2310DAP-2330DAP-2360DAP-2553DAP-2690DAP-2695DAP-3662DAP-2590DAP-3520
Способ устранения

Компенсирующие меры:
- ограничение доступа к оборудованию из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://djallalakira.medium.com/cve-2024-28436-cross-site-scripting-vulnerability-in-d-link-dap-products-3596976cc99fhttps://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10380https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10382https://www.dlink.com/en/security-bulletin/https://vuldb.com/?id.261728
Проверьте безопасность своего сайта и почты → Полная проверка домена